Методы и средства защиты инфы.правовое обеспечение без-ти ИС.зак-во РБ в обл.ИС.

1 .фрагментарный – направлен на противодействие четко определенным угрозам в заданных условиях. Его достоинством является высокая избирательность к конкретной угрозе. Недостатком — отсутствие единой защищенной среды обработки информации

2. комплексный — ориентирован на создание защищенной среды обработки информации, объединяющей в единый комплекс разнородные меры противодействия угрозам

В мировой практике используется понятие комплексная система защиты - совокупность законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидацию различных видов угроз безопасности.

Комплексная информационная безопасность — состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Современные комплексные системы защиты позволяют:

• собирать информацию со всех устройств идентификации и контроля, обрабатывать ее и управлять исполнительными устройствами;

• собирать и обрабатывать информацию с оборудования охранных систем сигнализации, систем видеонаблюдения, пожаротушения, вентиляции, энергосбережения и др.;

• создавать журналы учета состояния этих систем и происхождения изменений, демонстрировать оператору состояние систем и аварийные ситуации;

• контролировать состояние всей структуры в режиме реального времени при подключении информационных каналов, связывающих главный объект с филиалами или др.объектами.

Методы: законодательные (законы, нормативные акты, стандарты.); административно-организационные (действия общ-го характера, предпринимаемые руководством организации)

Программно-технические методы и средства:

• защищенные виртуальные частные сети для защиты информации, передаваемой по открытым каналам связи;

• межсетевые экраны для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;

• управление доступом на уровне пользователей и защита от несанкционированного доступа к информации;

• гарантированная идентификация пользователей путем применения токенов (смарт-карты, touch-memory, ключи для usb--портов и т.п.) и других средств аутентификации;

• защита информации на файловом уровне (шифрование файлов и каталогов) для обеспечения ее надежного хранения;

• защита от вирусов с использованием спец-ых комплексов антивирусной профилактики и защиты;

• обнаружение вторжений и активного

6.4 Методы и средства защиты информации.

Такой ключ называется симметричным ключом (закрытым). Пример Data Encryption Standard (DFS).

Симметричное шифрование обеспечивает скорость выпол­нения криптографических операций, но имеет два недостатка -большое количество необхо­димых ключей - сложности передачи закрытого ключа.

Для установления шифрованной связи с помощью сим­метричного алгоритма отправителю и получателю нужно предварительно согласовать ключ и держать его в тайне.

Проблема управления ключами была решена криптогра фией с открытым ключом концепция которой была предложена в 1975 г. В этой схеме применяется пара ключей: открытый, который зашифровывает данные, и соответствующий ему закрытый — их расшифровывает. Тот, кто зашифровывает данные, распространяет свой открытый ключ по всему свету, в то время как закрытый держит в тайне. Любой человек с копией открытого ключа может зашифровать данные, но прочитать данные сможет только тот, у кого есть закрытый ключ Асимметричное шифрование позволяет людям, не имеющим договоренности о безопасности, обмениваться секретны-сообщениями. Примерами криптосистем с открытым ключом являются Elgamal, RSA, DSAИспользование криптосистем с открытым ключом пре­доставляет возможность создания электронных цифровых подписей.ЭЦП—это рек­визит электронного документа, предназначенный для удо­стоверения источника данных и защиты электронного доку­мента от подделки. Цифровая подпись является сред­ством аутентификации и контроля целостности данных.Для того чтобы не зашифровывать весь текст при формировании ЭЦП исп-ся новый компонент — односторонняя хэш функция, к-я выбирает фрагмент произвольной длины (прообраз) и генерирует строго зависящий от прообраза код фиксиров. длины. Хэш-функция гарантирует, что если инф-я будет каким-либо образом изменена, то в результате получится иное хэш-значение. Полученный дайджест зашифровывается закрытым ключом отправителя и представляет собой электронную подпись, котораяможет прикрепляться к документу и передаваться вместе с исходным сообщением или передаваться отдельно от него. При получении сообщения заново вычисляется дайджест подписанных данных, расшифровывается ЭЦП открытым ключом отправителя.Если вычисленный и полученный с сообщением дайджесты совпадают, то информация после подписания не была изменена. Если в процессе формирования ЭЦП применяется стойкая одностороняя хэш-функция, то нет никакого способа взять чью-либо подпись с одного документа и прикрепить ее к другому.Цифровой сертификат ключа — это информация, при­крепленная к открытому ключу пользователя и дающая возможность другим установить, является ли ключ подлинным и верным. Система сертификации может реализовываться в виде хранилища-депозитария (сервером-депозитарием открытых ключей), или инфраструктурой открытых ключей.

Сервер-депозитарий — это сетевая база данных, санкционирующая пользователей на включение и извлечение и цифровых сертификатов.

В настоящее время создаются Центры сертификации (ЦС), которые издают цифровые сертификаты и подписывают их своим закрытым ключом.

Правовые аспекты ИБ

Правовое обеспечение безопасности. ИС — сов-ть законодательных и морально-этических средств, регламен­тирующих правила и нормы поведения при обработке и использовании информации, информационных ресурсов и ИС.

Законодательные средства — законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил (гражданское, админ., уголовное право).

Морально-этические средства — всевозможные нормы,

которые сложились традиционно или складываются по мере

распространения вычислительных средств в данной стране

или обществе.

В соответствии с нормами законодательства РБ физические и юридические лица имеют равные права на разработку и производство ИС, технологий и средство обеспечения. Право каждого гражданина на свободный поиск, получение, передачу, производство и распростране­ние информации.

В соответствии с нормами бел. закон-ва документированная информация может быть двух видов: от­крытая (общедоступная) и -информация ограниченного доступа.

Документированная информация с ограниченным досту­пом делится на две категории: государственные секреты (защищаемые государством сведения в соответствии с зако­ном «О защите государственных секретов») и конфиденци­альная информация, представляющая собой документиро­ванную информацию, доступ к которой ограничен в соот­ветствии с законодательством РБ. Чаще других при разработке ИС появляется необходимость обра­ботка двух категорий конфиденциальной информации, а именно персональных данных и коммерческой тайны.

Персональные данные — сведения о фактах, событиях обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Информация составляет коммерческую тайну, если она имеет действительную или потенциальную ком. ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законных основаниях,собственник информации принимает меры к её охране.

ИС могут находиться в собственности физических и юрид лиц, государства. Собственник ИС может использовать ее самостоятельно или передать право владения пользования другим лицам.

Различные компоненты и ИС могут являться объекта­ми авторского права. Это происходит в тех случаях, когда ИС являются результатом творческого труда.

Правовые методы защиты программных продуктов также включают: патентную защиту, присвоение статуса производственных секретов, лицензионные соглашения и контракты.

Лицензионные соглашения распространяются на вес ас­пекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные сек­реты.

Лицензия — договор на передачу одним лицом (лицензиаром) другому лицу (лицензиату) права на использование имени, продукции, технологии или услуги. В лицензионном соглашении оговариваются все условия""'

эксплуатации программных продуктов. Автором программных продуктов признается физ. лицо, в результате творческой деятельности которого они созданы.Программные продукты могут использоваться третьими лицами — пользователями на основании договора с правообладателем.

Первый кодекс компьютерной этики IEEE Code of Ethics был разработан в Институте инженеров электроники и электротехники в 1979 г. Сегодня сущ. десятки кодексов. Компьютерная этика устанавливает единые, основанные на этических представлениях принципы дея­тельности в сети Интернет, распространив их и на компью­терных профессионалов, и на пользователей сетей.

Во всех кодексах содержатся нормы, основанные на соб­людении четырех главных моральных принципов: PRIVACY (тайна частной жизни), accuracy (точность), property (частная собственность) и accessibility(доступность). Модель ком­пьютерной этики, основанная на этих принципах, получила название РАРА.

- privacy выражает право человека на автономию в частной жизни, право на защиту от вторжения ее органов власти и других людей.

- accuracy - точное соблюдение инструкций по эксплуатации и обработке информации, честное и социально-ответственное отношение к своим обязанностям.

- property - неприкосновенность частной собственности и является основой имущественного порядка в экономике.

- accessibility —право граждан на информацию и предполагает доступ каждого субъекта общества к инф. технологиям и к любой, необходимой для него информации, разрешенной для доступа.

Исходные положения правового обеспечения процессов ин­форматизации в Беларуси определены Концепцией гос. политики в области информатизации.Нормативно-правовая база, регламентирующая права, обязанности и ответственность субъектов, действующих в инф. сфере в РБ развивается по следующим направлениям:

• разработка концепции информационной безопасности;

• разработка нормативно-правовых, организационно-ме­тодических документов, регламентирующих деятельность органов гос. власти в области обеспечения ин­ф.безопасности;

• разработка правовых и организационных мероприя­тий, обеспечивающих сохранение и развитие инф. ресурсов;

• формирование правового статуса субъектов систем ИБ, определение их ответственности за обеспечение информационной безопасности. В сфере ИС в РБ действует ряд международных и государственных стандартов.

Закон Республики Беларусь «Об информации, информатизации и защите информации» регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и инф. ресурсов, создания инф. технологий ,определяет порядок защиты инф.ресурса, прав и обязанностей субъектов, принимающих участие в процессах информатизации.

Беларусь стремится к созданию цивилизованного инф. рынка. Об этом свидетельствуют многостороннее Соглашение стран — участниц СНГ о сотрудничестве в области охраны авторского права и прав от 23 сентября 1993 г., а также нормативно-правовые акты, «О печати и других средствах массовой информации», «О связи», «О защите потребителей», «Об электронном документе», «О введении в действие Единой системы классификации и кодирования технико-экономической и социальной информации РБ».

С 1июля 2010 года вступил в действие Указ Президента РБ № 60 от 1 февраля 2010 г. «О мерах совершенствованию использования национального сегмента сети Интернет», который предусматривает обеспечение защиты интересов личности, общества и государства в инф. сфере, создание условий для дальнейшего развития нац сегмента глобальной компьютерной сети Интернет, повышение качества и доступности информации о деятельности

Не нашли, что искали? Воспользуйтесь поиском по сайту: